Google werkt aan oplossing voor SSL-aanval
Gebruikers van Google Chrome zijn binnenkort niet meer kwetsbaar voor de SSL-aanval die vorige week werd gedemonstreerd. Dat zegt Google Chrome engineer Adam Langley. Via de aanval kunnen aanvallers HTTPS cookies stelen en ontsleutelen en zo de sessie van het slachtoffer overnemen. Het probleem dat Thai Duong en Juliano Rizzo demonstreerden is al geruime tijd bekend en verholpen in TSL 1.1. Daarnaast zijn er oplossingen voor SSL 3.0 en TLS 1.0 beschikbaar. Die oplossingen blijken door "buggy implementaties" van SSL/TLS niet altijd goed te werken
Google heeft daarom een anderee oplossing aan de 'dev' en beta-kanalen toegevoegd, maar die nog niet onder gebruikers van de stabiele versie verspreid. "Aangezien we nog niet weten of deze fix andere problemen veroorzaakt. Het is niet iets dat we zomaar zonder te testen op het publiek kunnen loslaten", merkt Langley op.
Java
Hij benadrukt dat de aanval niet zo eenvoudig is uit te voeren. Een aanvaller moet over een man-in-the-middle met voldoende bandbreedte beschikken. Dit zou kunnen op een draadloos netwerk. Toch is het volgens de engineer een veel minder ernstig probleem dan het slachtoffer alleen een website te laten bezoeken en via een drive-by download aan te vallen.
Daarnaast hoeft een aanvaller met een man-in-the-middle niet deze complexe aanval uit te voeren om informatie te stelen. Er zijn veel eenvoudigere mogelijkheden die minder moeite kosten. Langley krijgt bijval van Eric Rescorla. "Geen paniek. Ja de aanval is interessant, en SSL/TLS is niet volledig gebroken. Met name je communicatie met je bank is zeer waarschijnlijk in orde."
Rescorla beschrijft hoe de aanval mogelijk werkt, hoewel nog niet alle details bekend zijn. Toch adviseert hij internetgebruikers om op het moment Java uit te schakelen, iets wat in Chrome standaard gebeurt.
Het probleem is dat zo goed als niemand het vanwege compatibiliteitsproblemen aan had staan.
Niet bij clients en vaak ook niet op servers. IIS stond het bijvoorbeeld standaard uit. IE en Opera staat het standaard uit.
Chrome en Firefox gebruiken de zelfde library, de eerste library, die van Netscape toen der tijd. Chrome gebruik die oa. omdat omdat Windows XP bijvoorbeeld ook geen ondersteuning heeft voor SNI.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.